Απόφαση της Επιτροπής

της 6ης Νοεμβρίου 2000

για τα ελάχιστα κριτήρια που πρέπει να λαμβάνουν υπόψη τα κράτη μέλη όταν ορίζουν φορείς σύμφωνα με το άρθρο 3 παράγραφος 4 της οδηγίας 1999/93/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με το κοινοτικό πλαίσιο για ηλεκτρονικές υπογραφές

[κοινοποιηθείσα υπό τον αριθμό Ε(2000) 3179]

(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

(2000/709/ΕΚ)

Η ΕΠΙΤΡΟΠΗ ΤΩΝ ΕΥΡΩΠΑΪΚΩΝ ΚΟΙΝΟΤΗΤΩΝ,

Έχοντας υπόψη:

τη συνθήκη για την ίδρυση της Ευρωπαϊκής Κοινότητας,

την οδηγία 1999/93/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 13ης Δεκεμβρίου 1999, σχετικά με το κοινοτικό πλαίσιο για ηλεκτρονικές υπογραφές(1), και ιδίως το άρθρο 3 παράγραφος 4,

Εκτιμώντας τα ακόλουθα:

(1) Στις 13 Δεκεμβρίου 1999, το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο εξέδωσαν την οδηγία 1999/93/ΕΚ σχετικά με κοινοτικό πλαίσιο για ηλεκτρονικές υπογραφές.

(2) Το παράρτημα ΙΙΙ της οδηγίας 1999/93/ΕΚ περιλαμβάνει τις απαιτήσεις για ασφαλείς διατάξεις δημιουργίας υπογραφής. Σύμφωνα με το άρθρο 3 παράγραφος 4 της οδηγίας, η συμμόρφωση των ασφαλών διατάξεων δημιουργίας υπογραφής προς τις απαιτήσεις του παραρτήματος ΙΙΙ διαπιστώνεται από τους αρμόδιους δημόσιους ή ιδιωτικούς φορείς που ορίζουν τα κράτη μέλη, και η Επιτροπή καθορίζει κριτήρια βάσει των οποίων τα κράτη μέλη κρίνουν κατά πόσον ένας οργανισμός πρέπει να ορισθεί για την εκτέλεση τέτοιου είδους διαπιστώσεων της συμμόρφωσης.

(3) Η θέσπιση των ανωτέρω κριτηρίων από την Επιτροπή πρέπει να γίνεται κατόπιν διαβουλεύσεως με την "επιτροπή ηλεκτρονικής υπογραφής" που συγκροτείται βάσει του άρθρου 9 παράγραφος 1 της οδηγίας 1999/93/ΕΚ.

(4) Τα μέτρα που προβλέπονται στην παρούσα απόφαση είναι σύμφωνα με τη γνώμη της "επιτροπής ηλεκτρονικής υπογραφής",

ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ:

Άρθρο 1

Ο σκοπός της παρούσας απόφασης είναι να θεσπιστούν τα κριτήρια για τα κράτη μέλη κατά τον ορισμό εθνικών οργανισμών που είναι υπεύθυνοι για τις διαπιστώσεις συμμόρφωσης των ασφαλών διατάξεων δημιουργίας υπογραφής.

Άρθρο 2

Ο αρμόδιος φορέας ο οποίος αποτελεί μέρος οργανισμού που ασχολείται και με άλλες δραστηριότητες εκτός από την εκτίμηση της συμμόρφωσης των ασφαλών διατάξεων δημιουργίας υπογραφής προς τις απαιτήσεις του παραρτήματος ΙΙΙ της οδηγίας 1999/93/ΕΚ πρέπει να αναγνωρίζεται εύκολα στο πλαίσιο του εν λόγω οργανισμού. Οι διάφορες δραστηριότητες πρέπει να διακρίνονται σαφώς.

Άρθρο 3

Ο φορέας και το προσωπικό του δεν πρέπει να αναπτύσσουν δραστηριότητες που ενδέχεται να έλθουν σε σύγκρουση με την ανεξαρτησία κρίσεως και την ακεραιότητά τους σε σχέση με τα καθήκοντά τους. Ιδιαίτερα, ο φορέας πρέπει να είναι ανεξάρτητος από τα ενδιαφερόμενα μέρη. Επομένως, ο φορέας, το διευθυντικό στέλεχός του και το προσωπικό που είναι υπεύθυνο για την εκτέλεση των εργασιών εκτίμησης της συμμόρφωσης δεν επιτρέπεται να είναι σχεδιαστές, κατασκευαστές, προμηθευτές ή εγκαταστάτες των ασφαλών διατάξεων δημιουργίας υπογραφής, ούτε πάροχοι υπηρεσιών πιστοποίησης που εκδίδουν πιστοποιητικά για το κοινό, ούτε εντολοδόχοι των προσώπων αυτών.

Επιπλέον, πρέπει να είναι οικονομικά ανεξάρτητοι και να μην συμμετέχουν άμεσα στο σχεδιασμό, την κατασκευή, την εμπορία ή τη συντήρηση των ασφαλών διατάξεων δημιουργίας υπογραφής, ούτε να αντιπροσωπεύουν τα μέρη που ασχολούνται με τις δραστηριότητες αυτές. Το γεγονός αυτό δεν αποκλείει τη δυνατότητα ανταλλαγής πληροφοριών τεχνικής φύσεως μεταξύ του κατασκευαστή και του κοινοποιημένου φορέα.

Άρθρο 4

Ο φορέας και το προσωπικό του πρέπει να αποφαίνονται για τη συμμόρφωση των ασφαλών διατάξεων δημιουργίας υπογραφής προς τις απαιτήσεις που καθορίζονται στο παράρτημα ΙΙΙ της οδηγίας 1999/93/ΕΚ, με μεγάλη επαγγελματική ακεραιότητα, αξιοπιστία και ικανή τεχνική επάρκεια.

Άρθρο 5

Οι πρακτικές του φορέα για την εκτίμηση της συμμόρφωσης πρέπει να χαρακτηρίζονται από διαφάνεια· ο φορέας πρέπει να καταγράφει κάθε σχετική πληροφορία όσον αφορά τις πρακτικές αυτές. Όλα τα ενδιαφερόμενα μέρη πρέπει να έχουν πρόσβαση στις υπηρεσίες του φορέα. Οι διαδικασίες σύμφωνα με τις οποίες λειτουργεί ο φορέας πρέπει να διευθύνονται αμερόληπτα.

Άρθρο 6

Ο φορέας πρέπει να έχει στη διάθεσή του το αναγκαίο προσωπικό και εγκαταστάσεις ώστε να εκτελεί με τον δέοντα τρόπο και ταχύτητα τις τεχνικές και διοικητικές εργασίες που συνδέονται με τα καθήκοντα που του έχουν ανατεθεί.

Άρθρο 7

Το προσωπικό που είναι επιφορτισμένο με την εκτίμηση της συμμόρφωσης πρέπει να διαθέτει:

- άρτια τεχνική και επαγγελματική κατάρτιση, ιδιαίτερα στον τομέα των τεχνολογιών ηλεκτρονικής υπογραφής και των συναφών πλευρών ασφάλειας της τεχνολογίας των πληροφοριών,

- ικανοποιητική γνώση των απαιτήσεων σχετικά με τις εκτιμήσεις της συμμόρφωσης που διεξάγει και επαρκή πείρα για τη διεξαγωγή των εν λόγω εκτιμήσεων.

Άρθρο 8

Πρέπει να εξασφαλίζεται η αμεροληψία του προσωπικού. Η αμοιβή του δεν εξαρτάται από τον αριθμό των διεξαγομένων εκτιμήσεων της συμμόρφωσης ή από τα αποτελέσματα αυτών των εκτιμήσεων της συμμόρφωσης.

Άρθρο 9

Ο φορέας πρέπει να προβλέπει κατάλληλες ρυθμίσεις για την κάλυψη της αστικής ευθύνης που απορρέει από τις δραστηριότητές του, παραδείγματος χάρη, με τη σύναψη κατάλληλης ασφάλισης.

Άρθρο 10

Ο φορέας πρέπει να προβλέπει κατάλληλες ρυθμίσεις προκειμένου να εξασφαλίζεται το απόρρητο των πληροφοριών που λαμβάνονται κατά την εκτέλεση των καθηκόντων του στο πλαίσιο της οδηγίας 1999/93/ΕΚ ή οιασδήποτε άλλης διάταξης εσωτερικού δικαίου που την θέτει σε εφαρμογή, όχι όμως έναντι των αρμοδίων αρχών του κράτους μέλους το οποίο ορίζει τον φορέα.

Άρθρο 11

Σε περίπτωση που ο αρμόδιος φορέας προβλέψει τη διεξαγωγή ενός μέρους των εκτιμήσεων της συμμόρφωσης από άλλο μέρος, πρέπει να εξασφαλίσει και να είναι σε θέση να αποδείξει ότι το εν λόγω μέρος είναι ικανό να εκτελέσει την υπόψη υπηρεσία. Ο αρμόδιος φορέας πρέπει να αναλάβει πλήρη ευθύνη για τις εργασίες που εκτελούνται στο πλαίσιο αυτών των ρυθμίσεων. Η λήψη της τελικής απόφασης εξακολουθεί να εναπόκειται στον αρμόδιο φορέα.

Άρθρο 12

Η παρούσα απόφαση απευθύνεται στα κράτη μέλη.

Βρυξέλλες, 6 Νοεμβρίου 2000.

Για την Επιτροπή

Erkki Liikanen

Μέλος της Επιτροπής

(1) ΕΕ L 13 της 19.1.2000, σ. 12.